PHP Sicherheitslücken <-> Python ?!?!?

Wenn du dir nicht sicher bist, in welchem der anderen Foren du die Frage stellen sollst, dann bist du hier im Forum für allgemeine Fragen sicher richtig.
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Dienstag 1. November 2005, 19:05

Mal wieder gibt es sicherheitslücken in PHP: http://www.heise.de/security/news/meldung/65598

Im Forum gab's den Thread PHP vs. ASP.NET 14:7

Nun würd mich mal interessieren wie es bei Python denn so vergleichsweise aussieht... Also solange ich mich mit Python auseinander setzte, gab es keine vergleichsweisen Meldungen... Da gab es mal diesen Bug im SimpleXMLRPCServer und das war es auch schon... Auch http://www.python.org/security/ führt nur diesen Fehler auf.
Eine Suche nach "Sicherheitslücke Python" brachte auch nur Buffer Overflow in Python 2.2. Eine suche nach Sicherheitslücke PHP liefet da schon deutlich mehr :roll: Auch wenn es da viel um Fehler in Software geschrieben in PHP und nicht um PHP selber geht...

Natürlich spielt da wieder die wesendlich größere verbreitung von PHP im Web mit, aber wie sieht ihr das mit dem Vergleich PHP <-> Python???

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
mitsuhiko
User
Beiträge: 1790
Registriert: Donnerstag 28. Oktober 2004, 16:33
Wohnort: Graz, Steiermark - Österreich
Kontaktdaten:

Dienstag 1. November 2005, 19:18

Du hast ein Problem nicht. Code Injections. Alles was auf .php endet wird ausgeführt, das gilt für python scripte nicht.
Dafür ist es auch schwerer Webanwendungen zu schreiben (ich denke nur an meine WSGI Erfahrungen). Aber viele Sicherheitslücken sind nicht in Python.
TUFKAB – the user formerly known as blackbird
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Mittwoch 2. November 2005, 14:04

Ach, da fällt mir gerade der Artikel "Mail-Formulare auf Webseiten absichern" in der c't 22/05, Seite 208 ein...
Ein Beispiel-PHP-Listing findet sich hier: http://www.heise.de/ct/ftp/05/22/208/

Dabei kann man bei einfach gestrickten Mail-Formularen in PHP das ganze zum SPAM versand misbrauchen, weil man zusätzliche BCC-Empfänger einschleusen kann... Das liegt an der dumm programmierten mail-Funktion in PHP, die die Header nicht wirklich kapseln, wie es Python's email-Module macht. Laut Artikel ist auch das entsprechende Perl-Modul sicher vor missbrauch...

EDIT: Wie das gehen kann, steht hier: http://www.python-forum.de/viewtopic.php?p=33551#33551
Zuletzt geändert von jens am Donnerstag 23. März 2006, 08:00, insgesamt 1-mal geändert.

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Montag 7. November 2005, 18:17

Und gerade gibt es wieder zwei Sicherheitslücken in PHP:
http://www.heise.de/security/news/meldung/65834
http://www.heise.de/security/news/meldung/65820
Anlass diesen Thead nochmals ins Leben zu rufen...

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Benutzeravatar
SigMA
User
Beiträge: 181
Registriert: Sonntag 4. April 2004, 13:27
Wohnort: Freiburg
Kontaktdaten:

Montag 7. November 2005, 18:46

Sicherheitslücken in Python selber sind wohl relativ selten! Aber wenn man was in Python shcreibt muss man genauso wie bei PHP aufpassen keine Sicherheitslücke reinzubauen ... ich habe irgendwie das Gefühl, dass PHP veraltet sist und mal komplett neu aufgerollt werden müsste!

SigMA
Leichtdio.de - Das Kreativ-Blog
http://www.leichtdio.de
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Freitag 25. November 2005, 08:56

SigMA hat geschrieben:ich habe irgendwie das Gefühl, dass PHP veraltet sist und mal komplett neu aufgerollt werden müsste!
In letzter Zeit tut sich bei PHP auch einiges. Wohingegen es bei Python relativ ruhig bleibt... Das muss nicht unbedingt schlecht sein. Man muss schließlich nicht ständig was neues lernen. Aber ich hoffe doch, das die Entwicklercommunity von Python recht fleißig ist :lol:

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
mitsuhiko
User
Beiträge: 1790
Registriert: Donnerstag 28. Oktober 2004, 16:33
Wohnort: Graz, Steiermark - Österreich
Kontaktdaten:

Mittwoch 7. Dezember 2005, 14:43

jens hat geschrieben:
SigMA hat geschrieben:ich habe irgendwie das Gefühl, dass PHP veraltet sist und mal komplett neu aufgerollt werden müsste!
In letzter Zeit tut sich bei PHP auch einiges. Wohingegen es bei Python relativ ruhig bleibt... Das muss nicht unbedingt schlecht sein. Man muss schließlich nicht ständig was neues lernen. Aber ich hoffe doch, das die Entwicklercommunity von Python recht fleißig ist :lol:
RUHIG??? Was glaubst du was gerade abgeht ^^. PyPy wird marktreif. Wenn das keine Veränderung ist...
TUFKAB – the user formerly known as blackbird
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Mittwoch 7. Dezember 2005, 14:43

Ich hab mal eine Wiki Seite angelegt: http://pythonwiki.pocoo.org/Thema_Sicherheit

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Mittwoch 7. Dezember 2005, 14:45

blackbird hat geschrieben:RUHIG??? Was glaubst du was gerade abgeht ^^. PyPy wird marktreif. Wenn das keine Veränderung ist...
Naja, das kann ich noch nicht richtig einschätzen, was es wirklich für uns bringen wird...

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Leonidas
Administrator
Beiträge: 16024
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Mittwoch 7. Dezember 2005, 16:59

blackbird hat geschrieben:PyPy wird marktreif. Wenn das keine Veränderung ist...
Na, das sehe ich skeptisch, obwohl die Arbeit von Tismerysoft, Armin Rigo & Co. sicher toll ist. Vielleicht bist du schon zu stark von xorAxAx' Propaganda beeinflusst ;)
My god, it's full of CARs! | Leonidasvoice vs Modvoice
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Montag 16. Januar 2006, 09:17

(btw. Ich hab das Thema mal geteilt. Über "Parameterübergabe an Kommandozeilen Tool" geht nun hier http://www.python-forum.de/viewtopic.php?t=4916 weiter...)

Nun will ich mal diesen Thread mal wieder beleben: <ironie>PHP hat sich in den vergangenen Tagen wieder mit hervoragendem Support in die NEWS gebracht</ironie>: PHP 5.1.2 update kurz nach dem erscheinen von 5.1.1 :lol: und PHP 4.4.2 update mit vielen Bugfixes

Und wie sieht es bei Python aus? Keine Updates seit Python 2.4.2 (vom 28. September, 2005) also fast 4 Monate. Das letzte Sicherheitsloch ist immer noch die XMLRPCServer Geschichte von 03.02.2005 also seid fast einem Jahr! Weiter so, hoffe ich ;)

Sehe ich das PHP<->Python Verhätniss evtl. zu voreingenommen?

EDIT: http://forum.golem.de/read.php?8207,543 ... msg-543422 :D

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
modelnine
User
Beiträge: 670
Registriert: Sonntag 15. Januar 2006, 18:42
Wohnort: Celle
Kontaktdaten:

Montag 16. Januar 2006, 11:02

Sehe ich das PHP<->Python Verhätniss evtl. zu voreingenommen?
Ja.

Unabhängig davon dass PHP eine Programmiersprache ist die ich nicht mit dem kleinen Finger anfassen würde ist gerade die Standardbibliothek von PHP doch eher auf Web-Anwendungen ausgerichtet. Ein sinnvoller Vergleich vergleicht also nicht die Anzahl der Fixes für das Python-Grundpaket (welches eben "nur" aus Einzelbibliotheken besteht und so gut wie keine Frameworkfunktionalität beinhaltet) und PHP, sondern eher die Fixes zwischen einem Python-Web-Framework und PHP.

Und da sieht der Vergleich schon ein bißchen anders aus.

Das soll jetzt keine Führsprache für PHP sein, nur sollte man halt fair bleiben wenn man Dinge miteinander vergleicht. Und PHP nicht aufgrund von Sicherheit ablehnen, sondern allein schon wegen der Syntax. :-)

--- Heiko.
Leonidas
Administrator
Beiträge: 16024
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Montag 16. Januar 2006, 13:54

modelnine hat geschrieben:Und PHP nicht aufgrund von Sicherheit ablehnen, sondern allein schon wegen der Syntax. :-)
Hahaha! Wir brauchen eine Forums-Quote Seite im Wiki :) (hmm, und eine Forums-Seite überhaupt.. wenn ich Zeit finde richte ich die mal ein.)
My god, it's full of CARs! | Leonidasvoice vs Modvoice
modelnine
User
Beiträge: 670
Registriert: Sonntag 15. Januar 2006, 18:42
Wohnort: Celle
Kontaktdaten:

Montag 16. Januar 2006, 14:00

Hahaha!
Iss doch wahr! ;-)

--- Heiko.
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Dienstag 17. Januar 2006, 08:11

So unbefleckt wie ich es gedacht hab, ist Python dann aber auch wieder nicht... Zumindest gibt es ein paar Bugs:
http://python.org/2.4.2/bugs.html
Ist aber alles nichts wirklich wichtiges....

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
Antworten